• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Необходима помощь в расшифровке [fairexchange@qq.com] Crylock 1.9.2.1.

Статус
В этой теме нельзя размещать новые ответы.

Vladiiimir

Новый пользователь
Сообщения
3
Реакции
0
Прошу помочь с расшифровкой
 

Вложения

Здравствуйте!

Расшифровка есть. Только сначала, пожалуйста, выполните правила раздела.
Вы ведь не хотите случайно опять заразиться.
 
Запущено с помощью Volland (ВНИМАНИЕ: Пользователь не является Администратором)
Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора.
 
Спасибо.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    RemoveProxy:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2773742249-1791253517-1747482923-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
    HKU\S-1-5-21-2773742249-1791253517-1747482923-1000\...\MountPoints2: {18f7f076-a9d4-11ea-b6a9-3085a99cc492} - "E:\SISetup.exe" 
    HKU\S-1-5-21-2773742249-1791253517-1747482923-1000\...\MountPoints2: {29855a1f-fbf8-11ea-b6fd-00e04c910a03} - "E:\startup1.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Volland\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {0053411E-7D44-40D2-8E93-ED75CB327715} - \User_Feed_Synchronization-{C89CC0EE-E6A3-40AE-BE4B-8CC05BDD6FDC} -> Нет файла <==== ВНИМАНИЕ
    Task: {431B822B-8DE2-412C-9018-6B3B1804B6BE} - \CreateExplorerShellUnelevatedTask -> Нет файла <==== ВНИМАНИЕ
    Task: {7FEBAB95-57AD-4120-A696-4B9946612E47} - \User_Feed_Synchronization-{24657CA2-FAA7-4DC6-851A-EA1A7113B61B} -> Нет файла <==== ВНИМАНИЕ
    Task: {8ECE3D46-EFDE-4AAA-9172-FEA72C3612D3} - \Microsoft\XblGameSave\XblGameSaveTask\Logon -> Нет файла <==== ВНИМАНИЕ
    Task: {AC104F67-05D5-427A-9051-6CDAD0D22CD3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Нет файла <==== ВНИМАНИЕ
    Task: {C08B0FCA-61F5-4E49-8DC8-343997275E7A} - \User_Feed_Synchronization-{5DE9D424-126C-4050-8FD9-DE58FFE56EBA} -> Нет файла <==== ВНИМАНИЕ
    Task: {C78E616A-8237-48E5-AF44-D75E053789C3} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
    Task: {CF07313A-909D-4388-9963-68634BD235E7} - \SpeechRuntimeTask -> Нет файла <==== ВНИМАНИЕ
    Task: {CFCE0017-A4B1-4BEC-B28A-AAD8E74DBD56} - \Adobe Flash Player NPAPI Notifier -> Нет файла <==== ВНИМАНИЕ
    Task: {F310FEDB-A13D-42B5-94BE-EFC55622FF2A} - \TrackerAutoUpdate -> Нет файла <==== ВНИМАНИЕ
    ProxyServer: [S-1-5-21-2773742249-1791253517-1747482923-1000] => 190.228.29.42:80
    ProxyServer: [S-1-5-21-2773742249-1791253517-1747482923-500] => 127.0.0.1:8892
    CHR HKU\S-1-5-21-2773742249-1791253517-1747482923-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:DocumentSummaryInformation [63]
    AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:SummaryInformation [63]
    AlternateDataStreams: C:\WINDOWS\SysWOW64\zlib.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\Volland:Index [148]
    AlternateDataStreams: C:\Users\Volland\AppData:SYSD [148]
    AlternateDataStreams: C:\Users\Volland\Application Data:1 [148]
    AlternateDataStreams: C:\Users\Volland\Local Settings:String [148]
    AlternateDataStreams: C:\Users\Volland\AppData\Local:String [148]
    AlternateDataStreams: C:\Users\Volland\AppData\Roaming:1 [148]
    AlternateDataStreams: C:\Users\Volland\AppData\Local\Application Data:String [148]
    BHO-x32: Нет имени -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> Нет файла
    FirewallRules: [compositor-Out-TCP] => (Allow) LPort=48862
    FirewallRules: [compositor-In-TCP] => (Allow) LPort=48862
    FirewallRules: [{90080858-FC50-43A8-B2B3-E0ED174A8011}] => (Allow) LPort=5130
    FirewallRules: [{000CE2A0-6447-4B8F-9959-0A841957F7C4}] => (Allow) LPort=5130
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
@Vladiiimir, я правильно понимаю, что расшифровка вам не нужна? Тему закрываем?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу